常见问题解答：ArcGIS 软件是否易受 CVE-2010-3599 影响？

答案

一些安全工具报告 ArcGIS 软件易受 CVE-2010-3599 影响：可利用 .dll ActiveX 控件中 WriteJPG() 方法的错误来覆盖任意文件或可能导致缓冲区溢出。 此问题存在于某些版本的 NCSEcw.dll 中，用于渲染增强的小波压缩 (ECW) 栅格文件。

这是一个误报。 利用 CVE-2010-3599 需要在 Esri 软件中将 NCSEcw.dll 注册为 COM 对象。 此 DLL 未在 ArcGIS Desktop、ArcGIS Engine 或 ArcGIS Enterprise 中注册为 COM 对象。 ArcGIS 10.4 及更高版本中使用的 ECW DLL 没有 COM 接口（新版本中的 ECW SDK 版本为 5.2.1）。在旧版本的 ArcGIS 中，使用 ECW 4.x SDK；但是，ECW DLL 未注册，也不使用 COM 接口，因此无法从 ArcGIS/GDAL 安装中利用此漏洞。

可以对其进行独立验证。 为此，请使用参考文档附录中的 HTML 使用 ArcGIS Desktop 和 ArcGIS Engine 检查计算机。 例如，在运行 ArcGIS 10.2.2 的计算机上进行的测试返回以下消息：

“NCSEcw.NCSRenderer”未找到或无法加载 错误：自动化服务器无法创建对象 系统不易受 CVE-2010-3599 影响。 无需进一步的操作